암호모듈 검증
암호모듈 검증 개요
암호모듈 검증 제도는 「사이버안보 업무규정」 제9조와 「전자정부 시행령」 제69조 등에 따라 국가정보통신망에서 소통ㆍ저장되는 비밀이 아닌 업무자료를 보호하기 위해 국가ㆍ공공기관에서 도입하는 암호모듈의 안정성과 구현 적합성을 검증하는 제도입니다.
암호모듈은 소프트웨어, 하드웨어, 펌웨어 또는 이들을 조합한 형태로 구현될 수 있으며, 검증기준 만족 여부에 따라 보안수준 1부터 4까지 부여되며, 가장 높은 단계가 보안수준 4입니다.
암호모듈은 비밀이 아닌 업무자료를 보호하는 목적으로 정보의 유출, 위ㆍ변조, 훼손 등을 방지하기 위한 기밀성ㆍ무결성ㆍ인증ㆍ부인방지 등의 기능을 제공합니다.
-
암호모듈 시험ㆍ검증은 국제표준에 기반한 검증기준(KS X ISO/IEC 19790:2015 및 KS X ISO/IEC 24759:2015) 및 별도 공지한 검증기준에 따라 수행되며, 세부 절차는「암호모듈 시험 및 검증지침」을 적용합니다.
※ 암호모듈 검증제도 관련사항은 '자주 묻는 질문'을 참고하시고, 국가정보원 111 콜센터를 통해 문의하시기 바랍니다.
암호모듈 도입 기준
국가정보원이 아래 예시와 같은 제품에 대해서는 국가ㆍ공공기관 도입기준으로 검증필 암호모듈 탑재를 필수로 요구하고 있습니다. 국가ㆍ공공기관에서 검증필 암호모듈 탑재가 필수인 제품 유형 등의 도입기준 상세 사항은 ‘보안적합성 검증’ 페이지에서 확인할 수 있습니다. 아울어 각급기관에서 자체 규정ㆍ방침에 따라 검증필 암호모듈 탑재를 별도로 요구하는 경우가 있으니 이에 대해서는 해당 기관을 통해 안내를 받으시기 바랍니다.
검증필 암호모듈을 필수로 요구하는 제품 예시
| 분류 | 제품군 | 비고 |
|---|---|---|
| 정보보호시스템 유형 | DB 암호화 | 상세 도입 기준은 반드시 보안적합성 검증제도 참고 |
| 통합인증(SSO) | ||
| 문서 암호화(DRM 등) | ||
| 가상사설망(VPN) | ||
| 소프트웨어기반 보안USB | ||
| 호스트자료 유출방지 | ||
| 양자암호통신장비 유형 | 양자키분배장비 |
보안기능확인서 신청 시 검증필 암호모듈 적용 권고 상세 도입 기준은 반드시 보안적합성 검증제도 참고 |
| 양자키관리장비 | ||
| 양자통신암호화장비 | ||
| 암호가 주기능인 제품 유형 | 메일/구간/디스크ㆍ파일 암호화 | |
| 하드웨어 보안 토큰 | ||
| 기타 암호화 |
※ 정보보호시스템 등 보안기능이 탑재된 IT제품 유형의 도입기준은 일부 예시만 표시한 것이므로 상세 사항은 반드시 ‘보안적합성 검증’ 페이지에서 확인하시어 준비하시기 바랍니다.
도입 시 유의사항
도입하려는 암호모듈의 검증효력이 도입시점에서 유효한지 확인해야 합니다.
도입하려는 암호모듈이 검증필 암호모듈 목록에 등재된 형상데이터(해시값)와 일치하는 지 여부를 확인해야 합니다.
검증필 암호모듈 목록에 등재된 보안정책문서를 확인하여 암호모듈이 제공하는 보안기능을 점검해야 합니다.
검증필 암호모듈이 지원하는 운영체제(OS)가 적용대상 시스템에 부합한지 확인해야 합니다.
검증필 암호모듈이 검증대상 동작모드에서 동작하는지 확인해야 합니다.
암호모듈을 필수로 탑재하는 제품군의 경우 제품에 대한 인증서(CC인증ㆍ보안기능 확인서 등)가 유효한지 확인해야 합니다.
검증효력ㆍ기술지원 만료 시
국가ㆍ공공기관은 운용중인 암호모듈의 검증효력이 만료되거나 개발업체의 사정으로 더 이상의 유지보수 또는 기술지원이 불가할 경우, 해당 기관의 책임하에 암호모듈의 안전성을 확인하고 운용해야 합니다.
암호모듈 개발업체가 검증효력이 만료되기 이전에 암호모듈의 형상을 수정ㆍ보완하여 재검증을 신청하는 경우 검증필 암호모듈 목록이 갱신되므로 업데이트된 암호모듈로 교체 운용하는 것을 권고합니다. 다만, API 등 형상변경 여부를 확인하신 후 안전성을 점검한 후 운용하시길 바랍니다.